Actualización del paquete correspondiente a la base de datos MySQL en la cual corrige múltiples vulnerabilidades y un par de errores de seguridad limitados a Debian.

Entre los fallos corregidos se encuentran vulnerabilidades que podrían causar denegación de servicio y revelación de información sensible a un atacante autenticado (con cuenta en la base de datos) a través de múltiples vectores. 

 
La lista de identificadores CVE: CVE-2013-1861, CVE-2013-2162, CVE-2013-3783, CVE-2013-3793, CVE-2013-3802, CVE-2013-3804, CVE-2013-3809, CVE-2013-3812,CVE-2013-3839 y CVE-2013-5807. 
 
Cabe destacar que dos de las vulnerabilidades no son inherentes a MySQL, sino que son introducidas por un error en el mecanismo de instalación del paquete y otro de regresión al no contener los parches adecuados y anteriormente publicados para la rama 5.1 de MySQL. 
 
El primero de ellos reside en un script de post-instalación que podría verse afectado por una condición de carrera haciendo que el archivo ‘etc/mysql/debían.cnf’ pueda ser leído por todos los usuarios del sistema al otorgar los permisos de manera erronea. Dicho archivo contiene información sensible tal como las credenciales del usuario "debian-sys-mant". 
 
El otro error es debido, como se ha comentado, a la falta de aplicación de ciertos parches anteriormente publicados en la rama 5.1 de MySQL. 
Este parche borra la base de datos "test". Cualquier usuario con una cuenta anónima y sin credenciales podía acceder a estas bases de datos. 
De igual forma, este usuario anónimo podría acceder a cualquier base de datos que comenzase por la cadena "test_". 
 
Además de las vulnerabilidades mencionadas se han corregido errores de programación, mejoras de rendimiento y nuevas características, algunas de ellas, avisan, podrían causar problemas de compatibilidad. 
 
Los paquetes para la versión estable (wheezy) e inestable (sid) se han publicado en los repositorios correspondientes con la salvedad de que los dos problemas específicos de Debian serán corregidos más adelante para la versión inestable. 
 
Durante el proceso de actualización, según Debian, no se modifican las bases de datos existentes ni sus permisos. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/12/actualizacion-de-seguridad-de-mysql-55.html#comments
 
Más información:
 
DSA-2818-1 mysql-5.5 — several vulnerabilities
http://www.debian.org/security/2013/dsa-2818

Fuente:
David García
dgarcia@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen: 
Fotos Digitales Gratis
www.fotosdigitalesgratis.com
 
Logos/Imágenes MR Respectivas Compañías mencionadas en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar